Joukko Espoon kaupungin työntekijöitä sai maaliskuun lopussa sähköpostia. Yksitoista heistä avasi postissa olleen linkin.
Se oli virhe.
Näytti siltä, että sähköposti tuli työtoverilta. Se sisälsi linkin OneDrive-tiedostoon. Työkaverit jakavat vastaavan näköisiä työtiedostoja keskenään usein.
Todellisuudessa linkki vei huijaussivuille, jotka kuuluivat rikollisille Nigeriassa.
Näin huijaussivujen haltijat saivat pääsyn muun muassa työntekijöiden sähköposteihin.
Rikolliset saattavat käyttää tietoja petoksiin
Espoon mahdollinen tietomurto paljastui tietopyynnöstä, jonka Svenska Yle ja A-studio tekivät tietosuojavaltuutettu Reijo Aarnion toimistolle. Pyysimme tiedot henkilötietojen väärinkäytöksistä, joihin tietosuojavaltuutettu on joutunut puuttumaan.
Tapaukset ovat viimeisen vuoden ajalta. Yrityksillä ja muilla organisaatioilla on ollut velvollisuus ilmoittaa väärinkäytöksistä viranomaiselle keväästä 2018 asti.
Tapauksia, joihin tietosuojavaltuuttettu puuttui, oli 30. Valtuutetun toimiston mukaan yritykset eivät hyvin yleisesti itsekään tiedä, mitä tietoja tunkeutuja on saanut.
Espoon tapaus ei ole ainutlaatuinen. Se on kuitenkin oivallinen esimerkki hyvin yleisestä nettirikollisuuden muodosta eli tietojen kalastelusta.
Siinä huijarit yrittävät saada haltuunsa käyttäjätunnuksia, joiden avulla he voivat päästä käsiksi vaikkapa henkilötunnuksiin tai maksukorttien tietoihin. Rikolliset voivat tehdä henkilötunnusten avulla muun muassa petoksia tai identiteettivarkauksia.
Kyberturvallisuuskeskus varoitti ilmiöstä reilu vuosi sitten. Riski on yhä olemassa ja jopa kasvanut.
Espoon kaupungin tapauksessa sähköpostit onnistuivat huijaamaan yhtätoista työntekijää.
Kun kaupungin työntekijät avasivat sähköpostissa olleen linkin, ruudulle ilmestyi kirjautumisnäkymä Microsoft Office 365 -toimisto-ohjelmiin. Työntekijät kirjoittivat siihen käyttäjätunnuksensa ja salasanansa.
Näin ulkopuoliset saivat tunnukset ja salasanat itselleen. Tunnusten avulla he pääsivät halutessaan tutkimaan työntekijöiden sähköposteista ja mahdollisesti muistakin tieodostoista erilaisia tietoja.
Kaupunki on saanut selville, että ainakin 32 eri dokumenttia on avattu. Joukossa oli esimerkiksi tiedotteita ja kokouspöytäkirjoja.
Tunnusten huijaaminen on yhä yleisempää
Yritysten työntekijät joutuvat jatkuvasti tietojen kalastelun kohteeksi. Kyberturvallisuuskeskus saa päivittäin ilmoituksia vaarallisista sivustoista ja tunkeutumisesta yritysten tietoihin.
– Pahimmassa tapauksessa yrityksistä on postitettu edelleen tunnusten kalasteluviestejä muihin yrityksiin, Kyberturvallisuuskeskuksen erityisasiantuntija Markus Lintula kertoo Ylen haastattelussa.
Tunnusten kalastelu on hyvin tiedossa myös yrityksiä edustavassa Elinkeinoelämän keskusliitossa. Sieltä kerrotaan, että tunnusten huijaaminen on yhä yleisempi ongelma.
Rikollisten kohteena ovat erityisesti Office 365 -palvelun käyttäjät. Microsoftin palvelu on laajasti suomalaisten yritysten käytössä.
Työsopimuksia päätyi mahdollisesti vääriin käsiin
Espoossa tunkeutuja sai pääsyn ainakin yhdeksän henkilön arkaluonteisiin tietoihin. Sähköpostit sisälsivät kaupungin työntekijöiden työsopimuksia ja ansioluetteloita. Työsopimuksissa oli henkilötunnukset.
Asiasta kertoo kaupungin tietosuojavastavaa Juho Nurmi puhelimitse Ylelle.
– Tämä oli erittäin valitettava tapaus. Näin ei saisi käydä, Nurmi pahoittelee ja kertoo kaupungin suhtautuvan vakavasti henkilötietojen väärinkäytöksiin.
Rikolliset voivat käyttää henkilötietoja esimerkiksi taloudellisten petosten tekoon tai indentiteettivarkauksiin. Tietoihin tunkeutuja voi myös myydä tietojaan eteen päin.
Tietosuojavaltuutettu Reijo Aarnio arvelee omassa kirjallisessa vastauksessaan Espoolle, että mahdollisesti varastetut tiedot myydään todennäköisesti internetissä tai salatussa TOR-verkossa.
Tunkeutujat saivat pääsyn myös kaupungin sisäiseen puhelinluetteloon. Tietoturvaviranomainen sanoo kirjeessään Espoon kaupungille, että tunkeutujan olisi ollut helppo ladata koko luettelo omalle koneelleen.
– Tästä ei ole kuitenkaan olemassa todistusaineistoa, tietosuojavastaava Nurmi sanoo.
Luettelo sisältää yli 14 000 työntekijän nimet ja yhteystiedot.
Osa työntekijöiden puhelinnumeroista ei ole julkisesti saatavilla. Tietosuojaviranomainen huomauttaa kirjeessään Espoon kaupungille, että esimerkiksi lastensuojelun työntekijöiden yhteystiedot voivat olla salaisia.
Työsopimusten haltijat saivat tiedon hitaasti
Tieto henkilötunnusten mahdollisesta joutumisesta vääriin käsiin liikkui Espoossa hitaasti.
Alussa kaupunki arvioi, että yksittäiset ihmiset eivät olisi riskissä joutua ongelmiin tietomurron takia. Kaupunki oletti, että rikollisia kiinnostavat kaupungin maksuliikenne ja mahdollisuus päästä huijaamaan kaupungin rahoja.
Tietosuojavaltuutettu oli toista mieltä. Toimistosta tuli määräys selvittää asiaa tarkemmin.
Loppujen lopuksi löytyi yhdeksän henkilöä, joiden työsopimukset ja ansioluettelot olivat saattaneet joutua väärinkäytön kohteeksi.
Tietosuojavaltuutettu määräsi kaupungin ilmoittamaan heille mahdollisesta tietovarkaudesta nopeasti. Heille piti kertoa myös, kuinka mahdollisia haittoja, kuten taloudellisia petoksia, voi lieventää tai estää.
Tietosuojavaltuutetun kirjeen jälkeen Espoo toimi niin kuin pyydettiin.
Siitä huolimatta kului kolme kuukautta, ennen kuin arkaluontoista tietoa mahdollisesti menettäneet henkilöt saivat tietää tapahtuneesta. Lain mukaan ilmoitus olisi tehtävä viipymättä.
– Teimme erilaisen arvion ja tietosuojavaltuutetun määräyksen jälkeen tietenkin reagoimme välittömästi, tietosuojavastaava Juho Nurmi puolustautuu.
Espoon kaupunki toimi toki hyvin, kun se ilmoitti mahdollisesta henkilötietojen väärinkäytöstä nopeasti tietosuojavaltuutetulle. Näin täytyy tehdä vuoden 2018 keväällä voimaan tulleen lain mukaan. Kaupunki teki myös rikosilmoituksen poliisille.
Tietojenkalastelu muutti Espoon kaupungin toimintaa. Nyt tiedostoihin ei pääse pelkän käyttäjätunnuksen ja salasanan avulla. Työntekijöiden on vahvistettava kirjautuminen esimerkiksi puhelimella.
Kaupunki aikoo myös kouluttaa lisää tietoturva-asioista koko henkilökuntaansa. Koulutusta on annettu Nurmen mukaan jo aikaisemminkin. Silti tunnusten huijaaminen onnistui keväällä.
Finnairin asiakkaiden tietoja ehkä ulkopuolisella
Myös lentoyhtiö Finnair on joutunut tänä vuonna tietojen kalastelun uhriksi. Joidenkin asiakkaiden matkatietoja saattaa olla nyt ulkopuolisten hallussa. Tunkeutujat saivat ainakin mahdollisuuden päästä tietoihin halutessaan.
– Tiedot koskevat joidenkin asiakkaiden muutaman vuoden vanhoja varauksia. Sen lisäksi saatavilla on ollut henkilöstön yhteystietoja, Finnairin tietosuojavastaava Mikko Viemerö kertoo Ylelle puhelimessa.
Viemerö ei halua kertoa, kuinka monen asiakkaan tietoihin tunkeutujilla oli pääsy.
Finnairin työntekijöiden tunnuksia saaneet henkilöt lähettivät kymmeniä viestejä työntekijöiden sähköposteista. Niissä kalasteltiin lisää tietoja.
– Toiminta huomattiin nopeasti, ja se pystyttiin automaattisen valvonnan sekä teknisten toimenpiteiden ansiosta myös lopettamaan nopeasti, Viemerö sanoo.
Aluksi Finnairkaan ei kertonut tietovarkaudesta asiakkaille, joiden henkilötietoja saattoi olla nyt vieraissa käsissä.
Tietosuojavaltuutettu määräsi myös Finnairin toimimaan toisin. Yrityksen oli ilmoitettava asiakkailleen tapahtuneesta. Tietosuojavaltuutettu arveli, että asiakkaiden riski joutua väärinkäytösten kohteeksi oli suuri.
Määräyksen jälkeen Finnair otti yhteyttä 12 asiakkaaseensa. Yritys myös lähetti sähköpostia tapahtuneesta koko henkilökunnalle. Finnair on nyt parantanut suojautumistaan tietojen kalasteluhyökkäyksiä vastaan.